INSTITUTO DE DEPORTE Y RECREACION DEL META · El Instituto de Deporte y Recreación del Meta...

INSTITUTO DE DEPORTE Y RECREACION DEL META

POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN

Versión: 01 Emisión y vigencia: 28-01-2019 Código: Página 1 de 19

NIT. 822002510-6

Sede Administrativa Villa Olímpica

Carrera 16 No. 24-03 Barrio Olimpico Popular

Teléfonos: 6701469-6701465 V/cio (Meta)

Página Web: www.idermeta.gov.co

CONTENIDO

POLÍTICA GENERAL DE SEGURIDAD Y PRIVACIDAD DE LA INFORMACIÓN ......................... 2

NIVEL DE CUMPLIMIENTO ................................................................................................................. 2

IMPLEMENTACIÓN DE POLITICAS DE SEGURIDAD DE LA INFORMACIÓN ............................ 4

JUSTIFICACIÓN .................................................................................................................................... 4

OBJETIVO GENERAL ............................................................................................................................... 8

ALCANCE .................................................................................................................................................... 8

ROLES Y RESPONSABILIDADES ......................................................................................................... 8

CUMPLIMIENTO ........................................................................................................................................ 9

COMUNICACIÓN ....................................................................................................................................... 9

MONITOREO .............................................................................................................................................. 9

DESCRIPCIÓN DE LAS POLÍTICAS...................................................................................................... 9

GESTIÓN DE ACTIVOS ..................................................................................................................... 10

Política para la Identificación, Clasificación y Control de Activos de Información. ................ 10

CONTROL DE ACCESO .................................................................................................................... 10

Política de Acceso a Redes y Recursos de Red. ........................................................................ 10

Política de Administración de Acceso de Usuarios. ................................................................... 11

Política de Control de Acceso a Sistemas de Información y Aplicativos. ............................. 12

Políticas de Seguridad Física. ........................................................................................................ 13

Política de Seguridad para los Equipos. ....................................................................................... 14

Política de Uso Adecuado de Internet.. ........................................................................................ 15

PRIVACIDAD Y CONFIDENCIALIDAD ............................................................................................ 16

Política de Tratamiento y Protección de Datos Personales. ..................................................... 16

DISPONIBILIDAD DEL SERVICIO E INFORMACIÓN. ................................................................. 17

Política de Continuidad, Contingencia y Recuperación de la Información. ............................ 17

Copias de Seguridad. ...................................................................................................................... 17

http://www.idermeta.gov.co/




NIT. 822002510-6






El Instituto de Deporte y Recreación del Meta, entendiendo la importancia de una

adecuada gestión de la información, se ha comprometido con la implementación de un

sistema de gestión de seguridad de la información buscando establecer un marco de

confianza en el ejercicio de sus deberes con el Estado y los ciudadanos, todo

enmarcado en el estricto cumplimiento de las leyes y en concordancia con la misión y

visión de la entidad.

Para el Instituto de Deporte y Recreación del Meta, la protección de la información

busca la disminución del impacto generado sobre sus activos, por los riesgos

identificados de manera sistemática con objeto de mantener un nivel de exposición que

permita responder por la integridad, confidencialidad y la disponibilidad de la misma,

acorde con las necesidades de los diferentes grupos de interés identificados.

El Instituto de Deporte y Recreación del Meta, para asegurar el direccionamiento

estratégico de la Entidad, establece la compatibilidad de la política y de los objetivos de

seguridad de la información, estos últimos corresponden a:

Minimizar el riesgo en las funciones más importantes de la entidad.

Cumplir con los principios de seguridad de la información.

Cumplir con los principios de la función administrativa.

Mantener la confianza de la ciudadanía y empleados.

Apoyar la innovación tecnológica.

Implementar el Sistema de Gestión de Seguridad de la Información.

Proteger los activos tecnológicos.

Establecer las políticas, procedimientos e instructivos en materia de seguridad

de la información.

Fortalecer la cultura de seguridad de la información en los funcionarios, terceros,

aprendices, practicantes y clientes del Instituto de Deporte y Recreación del

Meta

Garantizar la continuidad de los procesos frente a incidentes.

NIVEL DE CUMPLIMIENTO

Todas las personas cubiertas por el alcance y aplicabilidad deberán da cumplimiento

un 100% de la política.

A continuación se establecen las políticas que soportan el SGSI del Instituto de Deporte

y Recreación del Meta.

1. El Instituto de Deporte y Recreación del Meta ha decidido definir, implementar,

operar y mejorar de forma continua un Sistema de Gestión de Seguridad de la





NIT. 822002510-6





Información, soportado en lineamientos claros alineados a las necesidades del

Instituto, y a los requerimientos regulatorios que le aplican a su naturaleza.

2. Las responsabilidades frente a la seguridad de la información serán definidas,

compartidas, publicadas y aceptadas por cada uno de los empleados,

contratistas o terceros.

3. El Instituto de Deporte y Recreación del Meta protegerá la información generada,

procesada o resguardada por los procesos y activos de información que hacen

parte de los mismos.

4. El Instituto de Deporte y Recreación del Meta protegerá la información creada,

procesada, transmitida o resguardada por sus procesos de negocio, con el fin de

minimizar impactos financieros, operativos o legales debido a un uso incorrecto

de esta. Para ello es fundamental la aplicación de controles de acuerdo con la

clasificación de la información de su propiedad o en custodia.

5. El Instituto de Deporte y Recreación del Meta protegerá su información de las

amenazas originadas por parte del personal.

6. El Instituto de Deporte y Recreación del Meta protegerá las instalaciones de

procesamiento y la infraestructura tecnológica que soporta sus procesos críticos.

7. El Instituto de Deporte y Recreación del Meta controlará la operación de sus

garantizando la seguridad de los recursos tecnológicos y las redes de datos.

8. El Instituto de Deporte y Recreación del Meta implementará control de acceso a

la información, sistemas y recursos de red.

9. El Instituto de Deporte y Recreación del Meta garantizará que la seguridad sea

parte integral del ciclo de vida de los sistemas de información.

10. El Instituto de Deporte y Recreación del Meta garantizará a través de una

adecuada gestión de los eventos de seguridad y las debilidades asociadas con

los sistemas de información una mejora efectiva de su modelo de seguridad.

11. El Instituto de Deporte y Recreación del Meta garantizará la disponibilidad de sus

procesos de negocio y la continuidad de su operación basada en el impacto que

pueden generar los eventos.

12. El Instituto de Deporte y Recreación del Meta garantizará el cumplimiento de las

obligaciones legales, regulatorias y contractuales establecidas.





NIT. 822002510-6





IMPLEMENTACIÓN DE POLITICAS DE SEGURIDAD DE LA INFORMACIÓN

JUSTIFICACIÓN

El Instituto de Deporte y Recreación del Meta con el propósito de salvaguar la

información de la entidad en todos sus aspectos, garantizando la seguridad de los

datos y el cumplimiento de las normas legales, ha establecido realizar un Plan de

Seguridad y Privacidad de la información con el ánimo de que no se presenten

pérdidas, robos, accesos no autorizados y duplicación de la misma, igualmente

promueve una política de seguridad de la información física y digital de acuerdo a la

caracterización de los usuarios tanto internos como externos.

La seguridad de la información se entiende como la preservación de las siguientes

características:

Confidencialidad: Se garantiza que la información sea accesible sólo a aquellas

personas autorizadas a tener acceso a la misma.

Integridad: Se salvaguarda la exactitud y totalidad de la información y los métodos

de procesamiento.

Disponibilidad: Se garantiza que los usuarios autorizados tengan acceso a la

información y a los recursos relacionados con la misma, toda vez que lo requieran.

Adicionalmente, debe considerarse los conceptos de:

Auditabilidad: Define que todos los eventos de un sistema deben poder ser

registrados para su control posterior.

Protección a la duplicación: Consiste en asegurar que una transacción sólo se

realiza una vez, a menos que se especifique lo contrario. Impedir que se grabe

una transacción para luego reproducirla, con el objeto de simular múltiples

peticiones del mismo remitente original.

No repudio: Se refiere a evitar que una entidad que haya enviado o recibido

información alegue ante terceros que no la envió o recibió.

Legalidad: referido al cumplimiento de las leyes, normas, reglamentaciones o

disposiciones a las que está sujeto el Organismo.

Confiabilidad de la Información: La información generada sea adecuada para

sustentar la toma de decisiones y la ejecución de las misiones y funciones.

A los efectos de una correcta interpretación del presente Plan, se realizan las

siguientes definiciones:

Acciones Asociadas: Son las acciones que se deben tomar posterior a

determinar las opciones de manejo del riesgo (asumir, reducir, evitar compartir o

transferir), dependiendo de la evaluación del riesgo residual, orientadas a

fortalecer los controles identificados.





NIT. 822002510-6





Acceso a la Información Pública: Derecho fundamental que tienen todas las

personas de conocer sobre la existencia y acceder a la información pública en

posesión o bajo control de sujetos obligados. (Ley 1712 de 2014, art 4).

Activo: En relación con la seguridad de la información, se refiere a cualquier

información o elemento relacionado con el tratamiento de la misma que tenga

valor para la organización.

Activo de Información: En relación con la privacidad de la información, se

refiere al activo que contiene información pública que el sujeto obligado genere,

obtenga, adquiera, transforme o controle en su calidad de tal.

Análisis del Riesgo: Etapa de la administración del riesgo, donde se establece

la probabilidad de ocurrencia y el impacto del riesgo antes de determinar los

controles (análisis del riesgo inherente).

Archivo: Conjunto de documentos, sea cual fuere su fecha, forma y soporte

material, acumulados en un proceso natural por una persona o entidad pública o

privada, en el transcurso de su gestión, conservados respetando aquel orden

para servir como testimonio e información a la persona institución que los

produce y a los ciudadanos, o como fuentes de la historia.

Administración de Riesgos: Conjunto de etapas secuenciales que se deben

desarrollar para el adecuado tratamiento de los riesgos.

Amenazas: Causa potencial de un incidente no deseado, que puede provocar

daños a un sistema o a la organización.

Análisis del Riesgo: Proceso para comprender la naturaleza del riesgo y

determinar el nivel de riesgo.

Asumir el Riesgo: Opción de manejo donde se acepta la pérdida residual

probable, si el riesgo se materializa.

Auditoria: Proceso sistemático, independiente y documentado para obtener

evidencias de auditoria y determinar el grado en el que se cumplen los criterios

de auditoria.

Autorización: Consentimiento previo, expreso e informado del Titular para llevar

a cabo el Tratamiento de datos personales.

Bases de Datos Personales: Conjunto organizado de datos personales que sea

objeto de Tratamiento (Ley 1581 de 2012, art 3).

Causa: Medios, circunstancias y/o agentes que generan riesgos.

Calificación del Riesgo: Estimación de la probabilidad de ocurrencia del riesgo

y el impacto que puede causar su materialización.

Ciberseguridad: Capacidad del Estado para minimizar el nivel de riesgo al que

están expuestos los ciudadanos, ante amenazas o incidentes de naturaleza

cibernética.

Ciberespacio: Es el ambiente tanto físico como virtual compuesto por

computadores, sistemas computacionales, programas computacionales

(software), redes de telecomunicaciones, datos e información que es utilizado

para la interacción entre usuarios.





NIT. 822002510-6





Consecuencia: Efectos que se pueden presentar cuando un riesgo se

materializa.

Contexto Estratégico: Son las condiciones internas y del entorno, que pueden

generar eventos que originan oportunidades o afectan negativamente el

cumplimiento de la misión y objetivos de una institución.

Control: Acción o conjunto de acciones que minimiza la probabilidad de

ocurrencia de un riesgo o el impacto producido ante su materialización.

Control Preventivo: Acción o conjunto de acciones que eliminan o mitigan las

causas del riesgo; está orientado a disminuir la probabilidad de ocurrencia del

riesgo. Control correctivo: acción o conjunto de acciones que eliminan o

mitigan las consecuencias del riesgo; está orientado a disminuir el nivel de

impacto del riesgo.

Datos Abiertos: Son todos aquellos datos primarios o sin procesar, que se

encuentran en formatos estándar e interoperables que facilitan su acceso y

reutilización, los cuales están bajo la custodia de las entidades públicas o

privadas que cumplen con funciones públicas y que son puestos a disposición

de cualquier ciudadano, de forma libre y sin restricciones, con el fin de que

terceros puedan reutilizarlos y crear servicios derivados de los mismos (Ley

1712 de 2014, art 6).

Datos Personales: Cualquier información vinculada o que pueda asociarse a

una o varias personas naturales determinadas o determinables. (Ley 1581 de

2012, art 3).

Datos Personales Privados: Es el dato que por su naturaleza íntima o

reservada sólo es relevante para el titular. (Ley 1581 de 2012, art 3 literal h).

Debilidad: Situación interna que la entidad puede controlar y que puede afectar

su operación.

Derecho a la Intimidad: Derecho fundamental cuyo núcleo esencial lo

constituye la existencia y goce de una órbita reservada en cada persona, exenta

de la intervención del poder del Estado o de las intromisiones arbitrarias de la

sociedad, que le permite a dicho individuo el pleno desarrollo de su vida

personal, espiritual y cultural (Jurisprudencia Corte Constitucional).

Evaluación del Riesgo: Resultado del cruce cuantitativo de las calificaciones de

probabilidad e impacto, para establecer la zona donde se ubicará el riesgo.

Evitar el Riesgo: Opción de manejo que determina la formulación de acciones

donde se prevenga la materialización del riesgo mediante el fortalecimiento de

controles identificado.

Frecuencia: Ocurrencia de un evento expresado como la cantidad de veces que

ha ocurrido un evento en un tiempo dado.

Información: se refiere a toda comunicación o representación de conocimiento

como datos, en cualquier forma, con inclusión de formas textuales, numéricas,

gráficas, cartográficas, narrativas o audiovisuales, y en cualquier medio, ya sea

magnético, en papel, en pantallas de computadoras, audiovisual u otro.





NIT. 822002510-6





Información Publica Clasificada: Es aquella información que estando en poder

o custodia de un sujeto obligado en su calidad de tal, pertenece al ámbito propio,

particular y privado o semiprivado de una persona natural o jurídica por lo que su

acceso podrá ser negado o exceptuado, siempre que se trate de las

circunstancias legítimas y necesarias y los derechos particulares o privados

consagrados en el artículo 18 de la Ley 1712 de 2014. (Ley 1712 de 2014, art 6).

Información Publica Reservada: Es aquella información que estando en poder

o custodia de un sujeto obligado en su calidad de tal, es exceptuada de acceso a

la ciudadanía por daño a intereses públicos y bajo cumplimiento de la totalidad

de los requisitos consagrados en el artículo 19 de la Ley 1712 de 2014. (Ley

1712 de 2014, art 6).

Identificación del Riesgo: Etapa de la administración del riesgo donde se

establece el riesgo con sus causas (asociadas a factores externos e internos de

riesgo), consecuencias y se clasifica de acuerdo con los tipos de riesgo

definidos.

Impacto: Medida para estimar cuantitativa y cualitativamente el posible efecto

de la materialización del riesgo.

Materialización del Riesgo: Ocurrencia del riesgo identificado.

Opciones de Manejo: Posibilidades disponibles para administrar el riesgo

posterior a la valoración de los controles definidos (asumir, reducir, evitar

compartir o transferir el riesgo residual).

Plan de Contingencia: Conjunto de acciones inmediatas, recursos,

responsables y tiempos establecidos para hacer frente a la materialización del

riesgo y garantizar la continuidad del servicio.

Plan de Tratamiento de Riesgo: Documento que define las acciones para

gestionar los riesgos de seguridad de la información inaceptables e implantar los

controles necesarios para proteger la misma.

Probabilidad: Medida para estimar cuantitativa y cualitativamente la posibilidad

de ocurrencia del riesgo.

Procedimiento: Conjunto de especificaciones, relaciones, responsabilidades,

controles y ordenamiento de las actividades y tareas requeridas para cumplir con

el proceso.

Proceso: Conjunto de entradas tangibles o intangibles, suministradas por un

proveedor, a estas entradas se les asigna recursos y se aplican controles,

obteniendo salidas tangibles o intangibles, destinadas a un usuario, generando

un impacto en estos. Se clasifican en estratégicos, misionales, de apoyo y de

evaluación.

Riesgo: Eventualidad que tendrá un impacto negativo sobre los objetivos

institucionales o del proceso.

Sistema de Gestión de Seguridad de la Información SGSI: Conjunto de

elementos interrelacionados o interactuantes (estructura organizativa, políticas,

planificación de actividades, responsabilidades, procesos, procedimientos y

recursos) que utiliza una organización para establecer una política y unos





NIT. 822002510-6





objetivos de seguridad de la información y alcanzar dichos objetivos, basándose

en un enfoque de gestión y de mejora continua.

Sistema de Información: Se refiere a un conjunto independiente de recursos de

información organizados para la recopilación, procesamiento, mantenimiento,

transmisión y difusión de información según determinados procedimientos, tanto

automatizados como manuales.

Tecnología de la Información: Se refiere al hardware y software operados la

entidad o por un tercero que procese información en su nombre, para llevar a

cabo una función propia del Organismo, sin tener en cuenta la tecnología

utilizada, ya se trate de computación de datos, telecomunicaciones u otro tipo.

OBJETIVO GENERAL

Definir los mecanismos y todas las medidas necesarias por parte del Instituto de

Deporte y Recreación del Meta, tanto técnica, lógica, física, legal y ambiental para la

protección de los activos de información, los recursos y la tecnología de la entidad, con

el propósito de evitar accesos no autorizados, divulgación, duplicación, interrupción de

sistemas, modificación, destrucción, pérdida, robo, o mal uso, que se pueda producir de

forma intencional o accidental, frente a amenazas internas o externas, asegurando el

cumplimiento de la confidencialidad, integridad, disponibilidad, legalidad y confiabilidad

de la información.

ALCANCE

El plan de tratamiento de riesgos de seguridad y privacidad de la información son

aplicables a todos los funcionarios del Instituto de Deporte y Recreación del Meta, a

sus recursos, procesos y procedimientos tanto interno como externo así mismo al

personal vinculado a la entidad y terceras partes que usen activos de información que

sean propiedad de la entidad.

ROLES Y RESPONSABILIDADES

Es responsabilidad del Instituto de Deporte y Recreación del Meta y el Comité de

Modelo Integrado de Gestión y Planeación MIPG la implementación, aplicación,

seguimiento y autorizaciones de la política del Plan de Seguridad y Privacidad de la

información en las diferentes áreas y procesos de la entidad, además garantiza el

apoyo y el uso de la Política de Seguridad de la Información como parte de su

herramienta de gestión, la cual debe ser aplicada de forma obligatoria por todos los

funcionarios para el cumplimiento de los objetivos.

El Comité de Modelo Integrado de Gestión y Planeación MIPG estará compuesto por:

Director General.

Jefe de la Oficina de Planeación y Asuntos Administrativos.

Subdirector Administrativo y Financiero.





NIT. 822002510-6





Este comité deberá revisar y actualizar esta política anualmente presentando las

propuestas a la alta dirección para su aprobación.

CUMPLIMIENTO

El cumplimiento de la Política de Seguridad y Privacidad de la Información es

obligatorio. Si los funcionarios de la entidad o terceros violan este plan, el Instituto de

Deporte y Recreación del Meta, se reserva el derecho de tomar las medidas

correspondientes.

COMUNICACIÓN

Mediante socialización a todos los funcionarios del Instituto de Deporte y Recreación

del Meta se dará a conocer el contenido del documento de las políticas de seguridad,

así mismo se deberá informar a los contratistas y/o terceros en el momento que se

requiera con el propósito de realizar los ajustes y la retroalimentación necesaria para

dar cumplimiento efectivo al plan.

Todos los funcionarios, contratistas y/o terceros de la entidad deben conocer la

existencia de las políticas, la obligatoriedad de su cumplimiento, la ubicación física del

documento estará a cargo del Sistema de Gestión Integrado para que sean

consultados en el momento que se requieran, igualmente estarán alojados en la página

de la entidad www.idermeta.gov.co.

MONITOREO

Se crearán los mecanismos y los indicadores correspondientes a la política de

seguridad con el fin de determinar el cumplimiento de las mismas para establecer qué

modificaciones o adiciones deben hacerse, este monitoreo debe realizarse como

mínimo una vez al año o cuando sea necesario.

DESCRIPCIÓN DE LAS POLÍTICAS

El Instituto de Deporte y Recreación del Meta en todas sus áreas y procesos cuenta

con información, reservada, relevante, privilegiada e importante, es decir que esta

información es el principal activo de la entidad para el desarrollo de todas sus

actividades por lo que se hace necesario y se debe proteger conforme a los criterios y

principios de los sistemas de información, como son integridad, disponibilidad y

confidencialidad de la información. De acuerdo a esta Política se divulgan los objetivos

y alcances de seguridad de la información de la entidad, que se logran por medio de la

aplicación de controles de seguridad, con el fin de mantener y gestionar el riesgo como

lo establece la política de riesgos institucional. Este documento tiene el objetivo de

garantizar la continuidad de los servicios, minimizar la probabilidad de explotar las

amenazas, y asegurar el eficiente cumplimiento de los objetivos institucionales y de las

obligaciones legales conforme al ordenamiento jurídico vigente y los requisitos de

seguridad destinados a impedir infracciones y violaciones de seguridad en el Instituto

de Deporte y Recreación del Meta.






NIT. 822002510-6





GESTIÓN DE ACTIVOS

Política para la Identificación, Clasificación y Control de Activos de Información.

El Instituto de Deporte y Recreación del Meta a través del Comité de Modelo Integrado

de Gestión y Planeación MIPG realizará la supervisión de cada proceso, el cual debe

aprobar el inventario de los activos de información que procesa y produce la entidad,

estas características del inventario deben establecer la clasificación, valoración,

ubicación y acceso de la información, correspondiendo a Gestión de TIC y a Gestión

Documental brindar herramientas que permitan la administración del inventario por

cada área, garantizando la disponibilidad, integridad y confidencialidad de los datos que

lo componen.

Pautas para Tener en Cuenta.

Los usuarios deben acatar los lineamientos guía de clasificación de la

Información para el acceso, divulgación, almacenamiento, copia, transmisión,

etiquetado y eliminación de la información contenida en los recursos

tecnológicos, así como de la información física de la entidad.

La información física y digital del Instituto de Deporte y Recreación del Meta

debe tener un periodo de almacenamiento que puede ser dictaminado por

requerimientos legales o misionales; este período debe ser indicado en las

tablas de retención documental y cuando se cumpla el periodo de conservación,

se le debe dar el tratamiento de acuerdo a la disposición final definida por la

entidad.

Los usuarios deben tener en cuenta estas consideraciones cuando impriman,

escaneen, saquen copias y envíen faxes: verificar las áreas adyacentes a

impresoras, escáneres, fotocopiadoras y máquinas de fax para asegurarse que

no quedaron documentos relacionados o adicionales; asimismo, recoger de las

impresoras, escáneres, fotocopiadoras y máquinas de fax, inmediatamente los

documentos confidenciales para evitar su divulgación no autorizada o mal

intencionada.

Tanto los funcionarios como el personal provisto por terceras partes deben

asegurarse que en el momento de ausentarse de su puesto de trabajo, sus

escritorios se encuentren libres de documentos y medios de almacenamiento,

utilizados para el desempeño de sus labores; estos deben contar con las

protecciones de seguridad necesarias de acuerdo con su nivel de clasificación.

La información que se encuentra en documentos físicos debe ser protegida, a

través de controles de acceso físico y las condiciones adecuadas de

almacenamiento y resguardo.

CONTROL DE ACCESO

Política de Acceso a Redes y Recursos de Red. El Ingeniero de sistemas del

Instituto de Deporte y Recreación del Meta, como responsable de las redes de datos y





NIT. 822002510-6





los recursos de red de la entidad, debe propender porque dichas redes sean

debidamente protegidas contra accesos no autorizados a través de mecanismos de

control de acceso lógico.

Pautas para Tener en Cuenta.

El proceso Gestión de TIC debe asegurar que las redes inalámbricas del Instituto

de Deporte y Recreación del Meta cuenten con métodos de autenticación que

evite accesos no autorizados.

El proceso Gestión de TIC debe establecer controles para la identificación y

autenticación de los usuarios provistos por terceras partes en las redes o

recursos de red del Instituto de Deporte y Recreación del Meta, así como velar

por la aceptación de las responsabilidades de dichos terceros. Además, se debe

formalizar la aceptación de las Políticas de Seguridad de la Información por

parte de estos.

Los funcionarios y personal provisto por terceras partes, antes de contar con

acceso lógico por primera vez a la red de datos del Instituto de Deporte y

Recreación del Meta, deben contar con el formato de creación de cuentas de

usuario debidamente autorizado y el acuerdo de Confidencialidad firmado

previamente.

Los equipos de cómputo de usuario final que se conecten o deseen conectarse a

las redes de datos del Instituto de Deporte y Recreación del Meta deben cumplir

con todos los requisitos o controles para autenticarse en ellas y únicamente

podrán realizar las tareas para las que fueron autorizados.

Política de Administración de Acceso de Usuarios. El Instituto de Deporte y

Recreación del Meta establecerá privilegios para el control de acceso lógico de cada

usuario o grupo de usuarios a las redes de datos, los recursos tecnológicos y los

sistemas de información de la Entidad. Así mismo, velará porque los funcionarios y el

personal provisto por terceras partes tengan acceso únicamente a la información

necesaria para el desarrollo de sus labores y porque la asignación de los derechos de

acceso esté regulada por normas establecidas para tal fin.

Pautas para Tener en Cuenta

El proceso Gestión de TIC, debe definir lineamientos para la configuración de

contraseñas que aplicarán sobre la plataforma tecnológica, los servicios de red y

los sistemas de información del Instituto de Deporte y Recreación del Meta;

dichos lineamientos deben considerar aspectos como longitud, complejidad,

cambio periódico, control histórico, bloqueo por número de intentos fallidos en la

autenticación y cambio de contraseña en el primer acceso, entre otros.

El proceso Gestión de TIC debe establecer un protocolo que asegure la

eliminación, reasignación o bloqueo de los privilegios de acceso otorgados sobre

los recursos tecnológicos, los servicios de red y los sistemas de información de

manera oportuna, cuando los funcionarios se desvinculan, toman licencias,

vacaciones, son trasladados o cambian de cargo.





NIT. 822002510-6





El proceso Gestión de TIC debe asegurarse que los usuarios o perfiles de

usuario que tienen asignados por defecto los diferentes recursos de la

plataforma tecnológica sean inhabilitados o eliminados.

Es responsabilidad de los propietarios de los activos de información, definir los

perfiles de usuario y autorizar, conjuntamente con el proceso Gestión de TIC, las

solicitudes de acceso a dichos recursos de acuerdo con los perfiles establecidos.

Los propietarios de los activos de información deben verificar y ratificar

anualmente todas las autorizaciones sobre sus recursos tecnológicos y sistemas

de información.

Política de Control de Acceso a Sistemas de Información y Aplicativos. EL

Instituto de Deporte y Recreación del Meta como propietario de los sistemas de

información y aplicativos que apoyan los procesos y áreas que lideran, velarán por la

asignación, modificación y revocación de privilegios de accesos a sus sistemas o

aplicativos de manera controlada.

El proceso Gestión de TIC, como responsable de la administración de dichos sistemas

de información y aplicativos, propende para que estos sean debidamente protegidos

contra accesos no autorizados a través de mecanismos de control de acceso lógico.

Así mismo, vela porque los desarrolladores, tanto internos como externos, acojan

buenas prácticas de desarrollo en los productos generados para controlar el acceso

lógico y evitar accesos no autorizados a los sistemas administrados.


Los propietarios de los activos de información deben autorizar los accesos a sus

sistemas de información o aplicativos, de acuerdo con los perfiles establecidos y

las necesidades de uso, acogiendo los procedimientos establecidos.

Los propietarios de los activos de información deben monitorear anualmente los

perfiles definidos en los sistemas de información y los privilegios asignados a los

usuarios que acceden a ellos.

El proceso Gestión de TIC debe establecer un protocolo para la asignación de

accesos a los sistemas y aplicativos del Instituto de Deporte y Recreación del

Meta.

El proceso Gestión de TIC debe establecer el protocolo y los controles de

acceso a los ambientes de producción de los sistemas de información; así

mismo, debe asegurarse que los desarrolladores internos o externos, posean

acceso limitado y controlado a los datos y archivos que se encuentren en los

ambientes de producción.

El proceso Gestión de TIC debe proporcionar repositorios de archivos fuente de

los sistemas de información; estos deben contar con acceso controlado y

restricción de privilegios, además de un registro de acceso a dichos archivos.





NIT. 822002510-6





Los desarrolladores deben asegurar que los sistemas de información construidos

requieran autenticación para todos los recursos y páginas, excepto aquellas

específicamente clasificadas como públicas.

Los desarrolladores deben certificar que no se almacenen contraseñas, cadenas

de conexión u otra información sensible en texto claro y que se implementen

controles de integridad de dichas contraseñas.

Políticas de Seguridad Física. El Instituto de Deporte y Recreación del Meta provee la

implantación y vela por la efectividad de los mecanismos de seguridad física y control

de acceso que aseguren el perímetro de sus instalaciones en todas sus áreas. Así

mismo, controlará las amenazas físicas externas e internas y las condiciones

medioambientales de sus oficinas.

Todas las áreas destinadas al procesamiento o almacenamiento de información

sensible, así como aquellas en las que se encuentren los equipos y demás

infraestructura de soporte a los sistemas de información y comunicaciones, se

considera áreas de acceso restringido. Se debe tener acceso controlado y restringido a

donde se encuentra los servidores y el cuarto de comunicaciones.


Las solicitudes de acceso al área donde se encuentra el servidor o los centros

de cableado deben ser aprobados por funcionarios que apoyan el proceso

Gestión de TIC autorizados; no obstante, los visitantes siempre deberán estar

acompañados de un funcionario.

El proceso Gestión de TIC debe asegurar que las labores de mantenimiento de

redes eléctricas, de voz y de datos, sean realizadas por personal idóneo y

apropiadamente autorizado e identificado.

El Director General del Instituto de Deporte y Recreación del Meta debe

proporcionar los recursos necesarios para ayudar a proteger, regular y velar por

el perfecto estado de los controles físicos implantados en las instalaciones del

Instituto.

El Director General del Instituto de Deporte y Recreación del Meta debe

identificar mejoras a los mecanismos implantados y de ser necesario, la

implementación de nuevos mecanismos, con el fin de proveer la seguridad física

de las instalaciones de la entidad.

Los ingresos y egresos de personal a las instalaciones del Instituto de Deporte y

Recreación del Meta en horarios no laborales deben ser registrados; por

consiguiente, los funcionarios y personal provisto por terceras partes deben

cumplir completamente con los controles físicos implantados.

Los funcionarios deben portar el carné que los identifica como tales en un lugar

visible mientras se encuentren en las instalaciones del Instituto de Deporte y

Recreación del Meta; en caso de pérdida del carné, deben reportarlo a la mayor

brevedad posible.





NIT. 822002510-6





Política de Seguridad para los Equipos. El Instituto de Deporte y Recreación del

Meta para evitar la pérdida, robo o exposición al peligro de los recursos de la

plataforma tecnológica de la entidad que se encuentren dentro o fuera de sus

instalaciones, proveerá los recursos que garanticen la mitigación de riesgos sobre

dicha plataforma tecnológica.


El proceso Gestión de TIC debe proveer los mecanismos y estrategias

necesarios para proteger la confidencialidad, integridad y disponibilidad de los

recursos tecnológicos, dentro y fuera de las instalaciones del Instituto de

Deporte y Recreación del Meta.

El proceso Gestión de TIC debe realizar soportes técnicos y velar que se

efectúen los mantenimientos preventivos y correctivos de los recursos de la

plataforma tecnológica de la entidad.

El proceso Gestión de TIC en conjunto con el facilitador del proceso Gestión de

Recursos Físicos debe propender porque las áreas de carga y descarga de

equipos de cómputo se encuentren aisladas del área donde se ubica el servidor

y otras áreas de procesamiento de información.

El proceso Gestión de TIC debe generar estándares de configuración segura

para los equipos de cómputo de los funcionarios de la entidad y configurar

dichos equipos acogiendo los estándares generados.

El proceso Gestión de TIC debe establecer las condiciones que deben cumplir

los equipos de cómputo de personal provisto por terceros, que requieran

conectarse a la red de datos de la entidad y verificar el cumplimiento de dichas

condiciones antes de conceder a estos equipos acceso a los servicios de red.

El proceso Gestión de TIC debe generar y aplicar lineamientos para la

disposición segura de los equipos de cómputo de los funcionarios de la entidad,

ya sea cuando son dados de baja o cambian de usuario.

El proceso Gestión de Recursos Físicos debe velar porque la entrada y salida de

estaciones de trabajo, servidores, equipos portátiles y demás recursos

tecnológicos institucionales de las instalaciones del Instituto de Deporte y

Recreación del Meta cuente con la autorización documentada y aprobada

previamente por el área.

Cuando se presente una falla o problema de hardware o software u otro recurso

tecnológico propiedad del Instituto de Deporte y Recreación del Meta, el usuario

responsable debe informar al facilitador del proceso Gestión de TIC, con el fin de

realizar una asistencia adecuada. El usuario no debe intentar solucionar el

problema.

En caso de pérdida o robo de un equipo de cómputo, se debe informar de forma

inmediata al líder del proceso para que se inicie el trámite interno y se debe

poner la denuncia ante la autoridad competente.





NIT. 822002510-6





Los funcionarios de la entidad y el personal provisto por terceras partes deben

asegurar que sus escritorios se encuentran libres de los documentos que son

utilizados durante el desarrollo de sus funciones al terminar la jornada laboral y,

que estos sean almacenados bajo las protecciones de seguridad necesarias.

Política de Uso Adecuado de Internet. El Instituto de Deporte y Recreación del

consciente de la importancia del servicio de Internet como una herramienta para el

desempeño de labores, proporcionará los recursos necesarios para asegurar su

disponibilidad a los usuarios que así lo requieran para el desarrollo de sus actividades

diarias en la entidad.


El proceso Gestión de TIC debe proporcionar los recursos necesarios para la

implementación, administración y mantenimiento requeridos para la prestación

segura del servicio de Internet, bajo las restricciones de los perfiles de acceso

establecidos.

El proceso Gestión de TIC debe diseñar e implementar mecanismos que

permitan la continuidad o restablecimiento del servicio de Internet en caso de

contingencia interna.

El proceso Gestión de TIC debe monitorear continuamente el canal o canales del

servicio de Internet.

El proceso Gestión de TIC debe establecer e implementar controles para evitar

la descarga de software no autorizado, evitar código malicioso proveniente de

Internet y evitar el acceso a sitios catalogados como restringidos.

El proceso Gestión de TIC debe generar registros de la navegación y los

accesos de los usuarios a Internet, así como establecer e implantar el monitoreo

sobre la utilización del servicio de Internet.

Los usuarios del servicio de Internet del Instituto de Deporte y Recreación del

Meta deben hacer uso del mismo en relación con las actividades laborales que

así lo requieran.

Los usuarios del servicio de Internet deben evitar la descarga de software desde

internet, así como su instalación en las estaciones de trabajo para el desempeño

de sus labores.

No está permitido el acceso a páginas relacionadas con pornografía, drogas,

alcohol, hacking y/o cualquier otra página que vaya en contra de la ética moral,

las leyes vigentes o políticas establecidas en este documento.

Los usuarios del servicio de internet tienen prohibido el acceso y el uso de

servicios interactivos o mensajería instantánea como Facebook, Yahoo, Skype y

otros similares, que tengan como objetivo crear comunidades para intercambiar

información, o bien para fines diferentes a las actividades propias del Instituto de

Deporte y Recreación del Meta.





NIT. 822002510-6





No está permitido la descarga, uso, intercambio y/o instalación de juegos,

música, películas, protectores y fondos de pantalla, software de libre distribución,

información y/o productos que de alguna forma atenten contra la propiedad

intelectual de sus autores, o que contengan archivos ejecutables y/o

herramientas que atenten contra la integridad, disponibilidad y/o confidencialidad

de la infraestructura tecnológica (hacking), entre otros.

PRIVACIDAD Y CONFIDENCIALIDAD

Política de Tratamiento y Protección de Datos Personales. En cumplimiento de la

de Ley 1581 de 2012 y reglamentada parcialmente por el Decreto Nacional 1377 de

2013, por la cual se dictan disposiciones para la protección de datos personales, el

Instituto de Deporte y Recreación del Meta a través del Comité de Modelo Integrado de

Gestión y Planeación MIPG, propende por la protección de los datos personales de sus

beneficiarios, proveedores y demás terceros de los cuales reciba y administre

información.

Se establece los términos, condiciones y finalidades para las cuales el Instituto de

Deporte y Recreación del Meta, como responsable de los datos personales obtenidos a

través de sus distintos canales de atención, tratará la información de todas las

personas que en algún momento, por razones de la actividad que desarrolla la entidad,

hayan suministrado datos personales. En caso de delegar a un tercero el tratamiento

de datos personales, el Instituto de Deporte y Recreación del Meta exigirá al tercero la

implementación de los lineamientos y procedimientos necesarios para la protección de

los datos personales. Así mismo, busca proteger la privacidad de la información

personal de sus funcionarios, estableciendo los controles necesarios para preservar

aquella información de la entidad conozca y almacene de ellos, velando porque dicha

información sea utilizada únicamente para funciones propias de la entidad y no sea

publicada, revelada o entregada a funcionarios o terceras partes sin autorización.


Las Unidades de Gestión que procesan datos personales de beneficiarios,

funcionarios, proveedores u otras terceras partes deben obtener la autorización

para el tratamiento de estos datos con el fin de recolectar, transferir, almacenar,

usar, circular, suprimir, compartir, actualizar y transmitir dichos datos personales

en el desarrollo de las actividades de la entidad.


funcionarios, proveedores u otras terceras partes deben asegurar que solo

aquellas personas que tengan una necesidad laboral legítima puedan tener

acceso a dichos datos.


funcionarios, proveedores u otras terceras partes deben establecer condiciones





NIT. 822002510-6





contractuales y de seguridad a las entidades vinculadas o aliadas delegadas

para el tratamiento de dichos datos personales.


funcionarios, proveedores u otras terceras partes deben acoger las directrices

técnicas y procedimientos establecidos para el intercambio de estos datos con

los terceros delegados para el tratamiento de dichos datos personales.


proveedores u otras terceras partes deben acoger las directrices técnicas y

procedimientos establecidos para enviar a los beneficiarios, proveedores u otros

terceros mensajes, a través de correo electrónico y/o mensajes de texto.

El comité de Modelo Integrado de Gestión y Planeación MIPG debe establecer

los controles para el tratamiento y protección de los datos personales de los

beneficiarios, funcionarios, proveedores y demás terceros del Instituto de

Deporte y Recreación del Meta, de los cuales reciba y administre información.

El proceso Gestión de TIC debe implantar los controles necesarios para proteger

la información personal de los beneficiarios, funcionarios, proveedores u otras

terceras partes almacenada en bases de datos o cualquier otro repositorio y

evitar su divulgación, alteración o eliminación sin la autorización requerida.

Los usuarios y funcionarios deben guardar la discreción correspondiente, o la

reserva absoluta con respecto a la información de la entidad o de sus

funcionarios de cual tengan conocimiento en el ejercicio de sus funciones.

Es deber de los usuarios y funcionarios, verificar la identidad de todas aquellas

personas, a quienes se les entrega información por teléfono, por fax, por correo

electrónico o por correo certificado, entre otros.

DISPONIBILIDAD DEL SERVICIO E INFORMACIÓN.

El Instituto de Deporte y Recreación del Meta, con el propósito de garantizar la

disponibilidad de la información y mantener los servicios orientados con el objetivo de

la entidad y los ofrecidos externamente, a decidió crear una política para proveer el

funcionamiento correcto y seguro de la información y medios de comunicación.

Política de Continuidad, Contingencia y Recuperación de la Información. El

Instituto de Deporte y Recreación del Meta proporcionará los recursos suficientes para

facilitar una respuesta efectiva a los funcionarios y para los procesos en caso de

contingencia o eventos catastróficos que se presenten en la entidad y que afecten la

continuidad de su operación y servicio.

Copias de Seguridad. Toda información que pertenezca a la matriz de activos de

información institucional o que sea de interés para un proceso operativo o de misión

crítica debe ser respaldada por copias de seguridad tomadas de acuerdo a los

procedimientos documentados por el Comité de Modelo Integrado de Gestión y





NIT. 822002510-6





Planeación MIPG. Dicho procedimiento debe incluir las actividades de almacenamiento

de las copias en sitios seguros.


El Comité de Modelo Integrado de Gestión y Planeación MIPG, debe reconocer

las situaciones que serán identificadas como emergencia o desastre para la

entidad, los procesos o las áreas y determinar cómo se debe actuar sobre las

mismas.

El Comité de Modelo Integrado de Gestión y Planeación MIPG, debe liderar los

temas relacionados con la continuidad de la entidad y la recuperación ante

desastres.

El Comité de Modelo Integrado de Gestión y Planeación MIPG debe realizar los

análisis de impacto a la entidad y los análisis de riesgos de continuidad para,

posteriormente proponer posibles estrategias de recuperación en caso de

activarse el plan de contingencia o continuidad, con las consideraciones de

seguridad de la información a que haya lugar.

El Comité de Modelo Integrado de Gestión y Planeación MIPG debe validar que

los procedimientos de contingencia, recuperación y retorno a la normalidad

incluyan consideraciones de seguridad de la información.

El Comité de Modelo Integrado de Gestión y Planeación MIPG, debe asegurar la

realización de pruebas periódicas del plan de recuperación ante desastres y/o

continuidad de entidad, verificando la seguridad de la información durante su

realización y la documentación de dichas pruebas.


INSTITUTO DE DEPORTE Y RECREACION DEL META · El Instituto de Deporte y Recreación del Meta...

Documents

Transcript of INSTITUTO DE DEPORTE Y RECREACION DEL META · El Instituto de Deporte y Recreación del Meta...